Curro en Everis y nos han mandado a casa a los 300 de la oficina, flipa. No sabemos si mañana iremos a currar o que...
#56 Eso crees tú xD... Si que pagaron empresas e incluso ayuntamientos.
Si crees que una gran empresa va a pagar y tú te vas a entrar en el periódico es que eres muy ingenuo.
#57 La info es bastante variada y nada fiable por ahora, en algunos lados que es day0 en otro que es un bug de MS Teams, etc..
#59 No es dejadez, ¿Cómo te crees que los gobiernos espían a otros gobiernos?
De hecho ahora lo hacen a lo descarado, directamente fuerzan a Google/Apple y demás a instalar backdoors en sus soluciones. El que piense que "actualizando con Windows Update" no le van a hackear es muy inocente y ademas no tiene nada que merezca la pena hackear.
Dime tú, ¿cómo te defiendes ante un exploit que toma control del SO a distancia y que nadie conoce?
¿Y cuando el grupo que lo hace no sólo tiene vulns para Windows pero también para demás sistemas?
#63SikorZ:¿cómo te defiendes ante un exploit que toma control del SO a distancia y que nadie conoce?
¿Políticas de red estrictas y cortafuegos?
#61 Tocará ir adelantando el trabajo en papel mientras que no tengais ordenadores, no seais vagos.
El exploit de teams permite ejecución remota de código sin escalar privilegios. Al parecer el bicho entra en forma de phising (mail, etc) y una vez entra en un PC usa el Teams para expandirse por la red local. Si van con software sin parchear y con admin local... ggwp
#65 Basta que entre en 1 PC, ese PC llegue a otro PC, el otro a otro y vice versa.
Tarde o temprano acaba en todos lados, porque acaba llegando a máquinas que tengan mas de una red.
La seguridad total no existe, sólo la sensación de seguridad.
Yo curro en everis tambien y hoy me quede en casa. Trate de logarme en Skype al punto de la mañana y dije, ñe, que raro que no me inicie sesión, de ahi fui tirando del hilo y encontré en la deep web ya registros de que la cosa habia empezado y he visto como ha avanzado todo xDD
#61 En que oficina estas?
#63 De momento este no parece day 0, y el ultimo ramson grande tampoco fué un day0 como tal usaba una cosa que a estaba parcheada.
No te niego la existencia de day0
#65 un day 0 se saltaria eso depende como, ytampoco vas a tener whitelist en absolutamente todo. Piensa que el problema es la propagacion en local, una vez ya ha habido una brecha, ahí ya no te salvan las politicas y los firewalls.
Yo por ejemplo en mi empresa soy de los pocos que puedo hacer deploy directamente en producción, a nivel de firewall/network para mi es como un campo abierto.
Todo ha sido sobre las 8.20 am , lo que he tardado en enchufarlo, ver correo ir a echar un cafe y volver ya habian capado la red.
#70 Ya ahí no entro, no tengo ni puta idea de qué exploit utiliza o deja de utilizar éste, pero los hay a puñados aunque no los conozcamos.
Es más, si te metes un poco en el tema verás que se venden por precios astronómicos.
#70ReEpER:un day 0 se saltaria eso depende como, ytampoco vas a tener whitelist en absolutamente todo. Piensa que el problema es la propagacion en local, una vez ya ha habido una brecha, ahí ya no te salvan las politicas y los firewalls.
Efectivamente, sólo hace falta que se infecte un PC de la red y a los 3 minutos todos KO
#72 Utiliza el exploit de Squirel publicado hace 1 semana. Se propaga usando Microsoft Teams. de ahí que las empesas que utilizan Office365 se hayan visto afectadas.
#71 Como dije, yo estaba en remoto y a las 6 y algo que es cuando conecte, no iba. De ahi en adelante, la historia es conocida. El update por mi parte es que sigue estando todo en pañales, equipos offline y estan evaluando lo que supone todo este problema. Yo estoy en proyectos internacionales con clientes que la seguridad es una premisa ultra sensible, no se como afectará esto a los contratos/proyectos que estan on going...
#74 La entrada es como siempre usando phising, luego usan Teams para propagarse a los equipos locales. Hasta he leído que usa WOL para infectar todavía más PC's xd, pero de esto último no tengo confirmación
#75 Es que imaginate si vendes ciberseguridad etc a otras empresas y tienes un ataque así de sonado, yo creo que esto va para largo...
Lel, pues en el santander han empexado hace unos meses a usar teams a saco.
Con suerte mañana me encuentro la catastrofe
#73 Si ha sido publicado hace una semana, es que hace mas tiempo que ya estaba parcheado o me equivoco?
Por qué decís lo del carnicero? Tengo un familiar que curró allí y hablaba maravillas ( era jefecilla)
#79 Si no ha pasado ya, no creo que pase... aquí lo único que he notado es que los externos de Everis que vienen hoy no han aparecido xD
#78 Lo se. Hace un año y medio hubo una auditoria en Madrid del cliente que tenemos y fue todo bien, en las instalaciones de Telefonica. Todo sin problemas, pero claro, ahora, pone en entredicho muchas cosas...
#81 Cuando se hablan de carnicas, es porque venden carne al peso, vamos, nosotros, que nos tratan como carne/mercaderia. Por mi parte, llevo 2 años y sin miras de cambiar, me han ofrecido mas pasta en otros sitios pero valoro otras cosas antes que el dinero y sigo acá, tengo mucha carrera para desarrollar y ni pienso en marcharme de momento, pero claro, en todos los sitios cuecen habas...
#80 Ni idea sobre el estado del parche, pero posiblemente sea el típico exploit que se conoce desde hace bastante tiempo atrás
aquí un pequeño PoC, esto es lo que han utilizado para la propagación masiva en LAN
Y aquí un poco más de info: https://www.bleepingcomputer.com/news/security/microsoft-teams-can-be-used-to-download-and-run-malicious-packages/
A parte el bicho intenta explotar más vulnerabilidades como la Blue de Escritorio Remoto/RDP, y un largo etc.
edit:
Reverse engineer Reegun Richard tested the issue on Microsoft Teams and reported it to the company on June 4. The application continues to be vulnerable at this point as Microsoft informed the researcher that the fix would come in a future release of the software.
En fin. xddddddd
Y yo hoy de vacaciones, que desgraciao soy, me hubiese ido a casa xD.
A ver si mañana sigue con suerte xDD
Decir que puede propagar a través de teams y echarle la culpa a teams no tiene mucho sentido.
Para eso alguien tiene que obtener el regalito.
